Os oes angen i chi ddadansoddi neu ryng-gipio pecynnau rhwydwaith yn Linux, yna mae'n well defnyddio cyfleustodau consol tcpdump. Ond mae'r broblem yn codi yn ei rheolaeth eithaf cymhleth. Bydd yn ymddangos i'r defnyddiwr cyffredin fod gweithio gyda'r cyfleustodau yn anghyfleus, ond dim ond ar yr olwg gyntaf y mae hyn. Bydd yr erthygl yn dweud wrthych sut mae tcpdump yn gweithio, pa gystrawen sydd ganddo, sut i'w ddefnyddio, a rhoddir nifer o enghreifftiau o'i ddefnydd.
Gweler hefyd: Canllawiau ar gyfer sefydlu cysylltiad Rhyngrwyd yn Ubuntu, Debian, Gweinyddwr Ubuntu
Gosod
Mae'r rhan fwyaf o ddatblygwyr systemau gweithredu sy'n seiliedig ar Linux yn cynnwys tcpdump yn y rhestr o rai sydd wedi'u gosod ymlaen llaw, ond os nad yw yn eich dosbarthiad am ryw reswm, gallwch chi bob amser ei lawrlwytho a'i osod drwyddo. "Terfynell". Os yw'ch OS yn seiliedig ar Debian, a'r rhain yw Ubuntu, Linux Mint, Kali Linux a'u tebyg, mae angen i chi redeg y gorchymyn hwn:
sudo apt install tcpdump
Wrth osod, mae angen i chi nodi cyfrinair. Sylwch, wrth ddeialu, nad yw'n cael ei arddangos, hefyd i gadarnhau'r lleoliad y mae angen i chi fynd i mewn i'r cymeriad D. a chlicio Rhowch i mewn.
Os oes gennych Red Hat, Fedora neu CentOS, yna bydd y gorchymyn gosod yn edrych fel hyn:
sudo yam gosod tcpdump
Ar ôl i'r cyfleustodau gael ei osod, gellir ei ddefnyddio ar unwaith. Bydd hyn a llawer mwy yn cael ei drafod yn nes ymlaen yn y testun.
Gweler hefyd: Canllaw Gosod PHP ar Ubuntu Server
Cystrawen
Fel unrhyw orchymyn arall, mae gan tcpdump ei gystrawen ei hun. Gan ei adnabod, gallwch chi osod yr holl baramedrau angenrheidiol a fydd yn cael eu hystyried wrth weithredu'r gorchymyn. Mae'r gystrawen fel a ganlyn:
opsiynau tcpdump -i hidlwyr rhyngwyneb
Wrth ddefnyddio'r gorchymyn, rhaid i chi nodi'r rhyngwyneb ar gyfer olrhain. Mae hidlwyr ac opsiynau yn newidynnau dewisol, ond maent yn caniatáu ar gyfer addasu'n fwy hyblyg.
Opsiynau
Er nad oes angen nodi opsiwn, mae angen i chi restru'r rhai sydd ar gael o hyd. Nid yw'r tabl yn dangos eu rhestr gyfan, ond dim ond y rhai mwyaf poblogaidd, ond maen nhw'n fwy na digon i ddatrys y rhan fwyaf o'r tasgau.
| Opsiwn | Diffiniad |
|---|---|
| -A | Yn caniatáu ichi ddidoli pecynnau gyda fformat ASCII |
| -l | Yn ychwanegu swyddogaeth sgrolio. |
| -i | Ar ôl mynd i mewn, mae angen i chi nodi'r rhyngwyneb rhwydwaith a fydd yn cael ei fonitro. I ddechrau monitro pob rhyngwyneb, nodwch y gair "any" ar ôl yr opsiwn |
| -c | Yn dod â'r broses olrhain i ben ar ôl gwirio'r nifer penodedig o becynnau |
| -w | Yn cynhyrchu ffeil testun gydag adroddiad gwirio |
| -e | Yn dangos lefel cysylltiad rhyngrwyd cysylltiad data |
| -L | Yn arddangos y protocolau hynny y mae'r rhyngwyneb rhwydwaith penodedig yn eu cefnogi yn unig. |
| -C | Yn creu ffeil arall wrth recordio pecyn os yw ei maint yn fwy na'r un penodedig |
| -r | Yn agor ffeil ddarllen a gafodd ei chreu gan ddefnyddio'r opsiwn -w |
| -j | Defnyddir fformat TimeStamp i recordio pecynnau |
| -J | Yn caniatáu ichi weld yr holl fformatau TimeStamp sydd ar gael |
| -G | Yn gwasanaethu i greu ffeil log. Mae'r opsiwn hefyd yn gofyn am werth dros dro, ac ar ôl hynny bydd log newydd yn cael ei greu |
| -v, -vv, -vvv | Yn dibynnu ar nifer y nodau yn yr opsiwn, bydd allbwn y gorchymyn yn dod yn fwy manwl (mae'r cynnydd yn gymesur yn uniongyrchol â nifer y nodau) |
| -f | Mae'r allbwn yn dangos enw parth cyfeiriadau IP |
| -F | Yn caniatáu darllen gwybodaeth nid o'r rhyngwyneb rhwydwaith, ond o'r ffeil benodol |
| -D | Yn dangos yr holl ryngwynebau rhwydwaith y gellir eu defnyddio. |
| -n | Yn dadactifadu arddangos enwau parth |
| -Z | Yn nodi'r defnyddiwr y bydd yr holl ffeiliau'n cael eu creu oddi tano. |
| -K | Dadansoddiad Siec Sgipio |
| -q | Crynodeb Arddangos |
| -H | Yn canfod Penawdau 802.11s |
| -I | Defnyddir wrth ddal pecynnau yn y modd monitro |
Ar ôl archwilio'r opsiynau, ychydig yn is byddwn yn mynd yn uniongyrchol at eu ceisiadau. Yn y cyfamser, bydd hidlwyr yn cael eu hystyried.
Hidlau
Fel y dywedwyd ar ddechrau'r erthygl, gallwch ychwanegu hidlwyr at gystrawen tcpdump. Nawr bydd y mwyaf poblogaidd ohonyn nhw'n cael ei ystyried:
| Hidlo | Diffiniad |
|---|---|
| gwesteiwr | Yn nodi'r enw gwesteiwr |
| net | Yn nodi is-rwydweithiau a rhwydweithiau IP |
| ip | Yn nodi'r cyfeiriad protocol |
| src | Yn arddangos pecynnau a anfonwyd o'r cyfeiriad penodedig |
| dst | Yn arddangos pecynnau a ddaeth i law'r cyfeiriad penodedig |
| arp, udp, tcp | Hidlo gan un o'r protocolau |
| porthladd | Yn arddangos gwybodaeth sy'n gysylltiedig â phorthladd penodol |
| ac, neu | Yn cyfuno sawl hidlydd mewn gorchymyn. |
| llai o faint | Pecynnau allbwn sy'n llai neu'n fwy na'r maint penodedig |
Gellir cyfuno'r holl hidlwyr uchod â'i gilydd, felly wrth gyhoeddi'r gorchymyn dim ond y wybodaeth rydych chi am ei gweld y byddwch chi'n ei gweld. Er mwyn deall yn fwy manwl y defnydd o'r hidlwyr uchod, mae'n werth rhoi enghreifftiau.
Gweler hefyd: Gorchmynion a Ddefnyddir yn Aml yn y Terfynell Linux
Enghreifftiau Defnydd
Bellach bydd opsiynau cystrawen a ddefnyddir yn aml ar gyfer y gorchymyn tcpdump yn cael eu dangos. Ni ellir rhestru pob un ohonynt, oherwydd gall fod nifer anfeidrol o'u hamrywiadau.
Gweld rhestr o ryngwynebau
Argymhellir bod pob defnyddiwr yn gwirio'r rhestr o'i holl ryngwynebau rhwydwaith y gellir eu holrhain i ddechrau. O'r tabl uchod rydym yn gwybod bod angen i chi ddefnyddio'r opsiwn ar gyfer hyn -D, felly yn y derfynfa, rhedeg y gorchymyn canlynol:
sudo tcpdump -D
Enghraifft:
Fel y gallwch weld, mae gan yr enghraifft wyth rhyngwyneb y gellir eu gweld gan ddefnyddio'r gorchymyn tcpdump. Bydd yr erthygl yn darparu enghreifftiau gyda ppp0Gallwch ddefnyddio unrhyw un arall.
Cipio traffig arferol
Os oes angen i chi olrhain un rhyngwyneb rhwydwaith, gallwch wneud hyn gan ddefnyddio'r opsiwn -i. Peidiwch ag anghofio nodi enw'r rhyngwyneb ar ôl ei nodi. Dyma enghraifft o orchymyn o'r fath:
sudo tcpdump -i ppp0
Sylwch: cyn y gorchymyn mae angen i chi nodi "sudo", gan ei fod yn gofyn am hawliau goruchwyliwr.
Enghraifft:
Sylwch: ar ôl pwyso Enter yn y "Terfynell", bydd pecynnau rhyng-gipio yn cael eu harddangos yn barhaus. I atal eu llif, mae angen i chi wasgu'r cyfuniad allweddol Ctrl + C.
Os gweithredwch y gorchymyn heb opsiynau a hidlwyr ychwanegol, fe welwch y fformat canlynol ar gyfer arddangos pecynnau wedi'u monitro:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Baneri [P.], seq 1: 595, ack 1118, ennill 6494, opsiynau [nop, nop, TS val 257060077 ecr 697597623], hyd 594
Lle amlygir y lliw:
- glas - yr amser y derbyniwyd y pecyn;
- oren - fersiwn protocol;
- gwyrdd - cyfeiriad anfonwr;
- fioled - cyfeiriad y derbynnydd;
- llwyd - gwybodaeth ychwanegol am tcp;
- coch - maint pecyn (wedi'i arddangos mewn beit).
Mae gan y gystrawen hon y gallu i arddangos mewn ffenestr. "Terfynell" heb ddefnyddio opsiynau ychwanegol.
Cipio traffig gyda'r opsiwn -v
Fel y gwyddys o'r tabl, yr opsiwn -v yn caniatáu ichi gynyddu faint o wybodaeth. Gadewch i ni gymryd enghraifft. Gwiriwch yr un rhyngwyneb:
sudo tcpdump -v -i ppp0
Enghraifft:
Yma gallwch weld bod y llinell ganlynol wedi ymddangos yn yr allbwn:
IP (tos 0x0, ttl 58, id 30675, gwrthbwyso 0, fflagiau [DF], proto TCP (6), hyd 52
Lle amlygir y lliw:
- oren - fersiwn protocol;
- glas - hyd oes protocol;
- gwyrdd - hyd pennawd y cae;
- porffor - fersiwn pecyn tcp;
- coch - maint pecyn.
Hefyd yn y gystrawen gorchymyn gallwch ysgrifennu opsiwn -vv neu -vvv, a fydd yn cynyddu ymhellach faint o wybodaeth sy'n cael ei harddangos ar y sgrin.
Opsiwn -w ac -r
Soniodd y tabl opsiynau am y gallu i arbed yr holl allbwn mewn ffeil ar wahân fel y gallwch ei weld yn nes ymlaen. Mae'r opsiwn yn gyfrifol am hyn. -w. Mae ei ddefnyddio yn eithaf syml, dim ond ei nodi yn y gorchymyn, ac yna nodi enw'r ffeil yn y dyfodol gyda'r estyniad ".pcap". Gadewch i ni edrych ar enghraifft:
sudo tcpdump -i ppp0 -w file.pcap
Enghraifft:
Sylwch: wrth ysgrifennu logiau i ffeil, ni ddangosir unrhyw destun ar y sgrin "Terfynell".
Pan fyddwch am weld yr allbwn a gofnodwyd, rhaid i chi ddefnyddio'r opsiwn -r, ac ar ôl hynny ysgrifennwch enw'r ffeil a gofnodwyd o'r blaen. Fe'i defnyddir heb opsiynau a hidlwyr eraill:
sudo tcpdump -r file.pcap
Enghraifft:
Mae'r ddau opsiwn hyn yn wych mewn achosion lle mae angen i chi arbed llawer iawn o destun i'w rannu'n ddiweddarach.
Hidlo IP
O'r tabl hidlo rydyn ni'n gwybod hynny dst yn caniatáu ichi arddangos ar sgrin y consol dim ond y pecynnau hynny a dderbyniwyd gan y cyfeiriad a bennir yn y gystrawen gorchymyn. Felly, mae'n gyfleus iawn gweld y pecynnau a dderbynnir gan eich cyfrifiadur. I wneud hyn, dim ond nodi ei gyfeiriad IP y mae angen i'r tîm nodi:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Enghraifft:
Fel y gallwch weld, ar wahân dst, gwnaethom hefyd gofrestru hidlydd yn y tîm ip. Hynny yw, dywedasom wrth y cyfrifiadur y byddai'n talu sylw i'w cyfeiriad IP wrth ddewis pecynnau, ac nid i baramedrau eraill.
Trwy IP, gallwch hefyd hidlo pecynnau sy'n mynd allan. Byddwn yn rhoi ein IP eto yn yr enghraifft. Hynny yw, nawr byddwn yn olrhain pa becynnau sy'n cael eu hanfon o'n cyfrifiadur i gyfeiriadau eraill. I wneud hyn, rhedeg y gorchymyn canlynol:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Enghraifft:
Fel y gallwch weld, yn y gystrawen gorchymyn gwnaethom newid yr hidlydd dst ymlaen src, a thrwy hynny ddweud wrth y peiriant i chwilio am anfonwr dros IP.
Hidlo HOST
Trwy gyfatebiaeth ag IP yn y gorchymyn, gallwn nodi hidlydd gwesteiwri hidlo pecynnau gyda'r llu o ddiddordeb. Hynny yw, yn y gystrawen, yn lle cyfeiriad IP yr anfonwr / derbynnydd, bydd angen i chi nodi ei westeiwr. Mae'n edrych fel hyn:
sudo tcpdump -i ppp0 dst gwesteiwr google-public-dns-a.google.com
Enghraifft:
Yn y ddelwedd gallwch weld hynny yn "Terfynell" dim ond y pecynnau hynny a anfonwyd o'n IP i westeiwr google.com sy'n cael eu harddangos. Fel y gallwch ddeall, yn lle'r gwesteiwr google, gallwch nodi unrhyw un arall.
Fel gyda hidlo IP, y gystrawen dst gellir ei ddisodli gan srcI weld y pecynnau sy'n cael eu hanfon i'ch cyfrifiadur:
sudo tcpdump -i ppp0 src gwesteiwr google-public-dns-a.google.com
Sylwch: rhaid i'r hidlydd gwesteiwr fod ar ôl dst neu src, fel arall bydd y gorchymyn yn taflu gwall. Yn achos hidlo gan IP, i'r gwrthwyneb, mae dst a src o flaen yr hidlydd ip.
Cymhwyso'r a a / neu'r hidlydd
Os oes angen i chi ddefnyddio sawl hidlydd mewn un gorchymyn ar unwaith, yna mae angen i chi gymhwyso hidlydd a neu neu (yn dibynnu ar yr achos). Trwy nodi hidlwyr yn y gystrawen a'u gwahanu gyda'r gweithredwyr hyn, byddwch yn gwneud iddynt weithio fel un. Er enghraifft, mae'n edrych fel hyn:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 neu ip src 95.47.144.254
Enghraifft:
Mae'r gystrawen gorchymyn yn dangos yr hyn yr ydym am ei arddangos "Terfynell" pob pecyn a anfonwyd i gyfeiriad 95.47.144.254 a phacedi a dderbyniwyd gan yr un cyfeiriad. Gallwch hefyd newid rhai newidynnau yn yr ymadrodd hwn. Er enghraifft, yn lle IP, nodwch HOST neu amnewid y cyfeiriadau eu hunain yn uniongyrchol.
Hidlydd porthladd a portrange
Hidlo porthladd perffaith mewn achosion lle mae angen i chi gael gwybodaeth am becynnau gyda phorthladd penodol. Felly, os mai dim ond atebion neu ymholiadau DNS y mae angen i chi eu gweld, mae angen i chi nodi porthladd 53:
sudo tcpdump -vv -i ppp0 porthladd 53
Enghraifft:
Os ydych chi am weld pecynnau http, mae angen i chi nodi porthladd 80:
sudo tcpdump -vv -i ppp0 porthladd 80
Enghraifft:
Ymhlith pethau eraill, mae'n bosibl olrhain ystod y porthladdoedd ar unwaith. Mae hidlydd yn cael ei gymhwyso ar gyfer hyn. portrange:
portread sudo tcpdump 50-80
Fel y gallwch weld, ar y cyd â'r hidlydd portrange mae angen opsiynau dewisol. Dim ond gosod yr ystod.
Hidlo Protocol
Gallwch hefyd arddangos traffig sy'n cyfateb i unrhyw brotocol yn unig. I wneud hyn, defnyddiwch enw'r protocol hwn fel hidlydd. Gadewch i ni edrych ar enghraifft udp:
sudo tcpdump -vvv -i ppp0 udp
Enghraifft:
Fel y gwelwch yn y ddelwedd, ar ôl gweithredu'r gorchymyn i mewn "Terfynell" dim ond pecynnau gyda'r protocol a arddangoswyd udp. Yn unol â hynny, gallwch hidlo gan eraill, er enghraifft, arp:
sudo tcpdump -vvv -i ppp0 arp
neu tcp:
sudo tcpdump -vvv -i ppp0 tcp
Hidlydd net
Gweithredwr net yn helpu i hidlo pecynnau yn seiliedig ar eu dynodiad rhwydwaith. Mae ei ddefnyddio mor syml â'r gweddill - mae angen i chi nodi priodoledd yn y gystrawen net, yna nodwch gyfeiriad y rhwydwaith. Dyma enghraifft o orchymyn o'r fath:
sudo tcpdump -i ppp0 net 192.168.1.1
Enghraifft:
Hidlo maint pecyn
Ni wnaethom ystyried dwy hidlydd mwy diddorol: llai a mwy. O'r tabl gyda hidlwyr, rydyn ni'n gwybod eu bod nhw'n cynhyrchu mwy o becynnau data ((llai) neu lai (mwy) y maint a bennir ar ôl nodi'r priodoledd.
Tybiwch ein bod am fonitro pecynnau yn unig nad ydynt yn fwy na'r marc 50-did, yna bydd y gorchymyn yn edrych fel hyn:
sudo tcpdump -i ppp0 llai 50
Enghraifft:
Nawr, gadewch i ni arddangos i mewn "Terfynell" pecynnau mwy na 50 darn:
sudo tcpdump -i ppp0 mwy 50
Enghraifft:
Fel y gallwch weld, fe'u cymhwysir yr un ffordd, yr unig wahaniaeth yw yn enw'r hidlydd.
Casgliad
Ar ddiwedd yr erthygl, gallwn ddod i'r casgliad bod y tîm tcpdump - Mae hwn yn offeryn rhagorol y gallwch olrhain unrhyw becyn data a drosglwyddir dros y Rhyngrwyd. Ond ar gyfer hyn nid yw'n ddigon i fynd i mewn i'r gorchymyn ei hun "Terfynell". Dim ond os ydych chi'n defnyddio pob math o opsiynau a hidlwyr, yn ogystal â'u cyfuniadau, y ceir y canlyniad a ddymunir.
